|
|
|
|
|
以下のセキュリティ機能は MOVEit ソフトウェアの機能であり、オペレーティングシステムおよび関連するアプリケーションサービスをさらに強化するものです。
MOVEit は送信時に SSL または SSH を使用して通信を暗号化します。Web 送信時に使用される最低限の暗号化 (128 ビットなど) は MOVEit インターフェイス内で設定できます。
この値は組織ごとに設定できます。特定の組織の値を設定するには、SysAdmin としてサインオンし、この値を設定する組織を表示してから、[Change Req (変更要求)] リンクをクリックして値を設定します。
注: システム組織 (#0) に最低限の暗号化値を設定した場合、その設定をシステムのすべての組織に適用できます。
MOVEit は、暗号化に関する米国連邦基準である FIPS 140-2 認証を受けた 256 ビット AES (http://csrc.nist.gov/encryption/aes) を使用して、すべてのファイルをディスクに格納します。MOVEit が暗号化エンジンとして使用する MOVEit Crypto は、FIPS 140-2 ガイドラインに従い、暗号化の適切性について米国政府およびカナダ政府からの認定を受けています。
また、MOVEit は、ユーザーがファイルを破棄した後で、暗号化されたファイルが物理ディスク上に残らないように削除されたファイルを乱数データで上書きします。
MOVEit が受信したファイルが大きなクリアテキストメモリバッファにコピーされると、これらの領域の外でトロイの木馬プログラムが機密性の高いファイルを「スニッフィング」する可能性があります。
そこで MOVEit では、受信したファイルの各部分を小さなバッファにスプールし、これらを暗号化してただちにディスクに書き込みます。この方法でファイルをスプールすることにより、1) 公開される情報の量を減らす、2) 情報が公開される時間を短縮するという 2 つの方法で、情報の公開を全体的に減らすことができます (この方法はパフォーマンス上でも重要なメリットをもたらします)。
(この問題に関して、「単に SSL または SSH を使用してファイルを格納しないのはなぜか」という質問をよく受けますが、簡単に説明すると、SSL または SSH では、クライアントが新しい接続を確立するたびにネゴシエートされる一時キーを使用しますが、ストレージには「より永続的な」キーが必要であるためです。)
所定のファイル送信クライアントを MOVEit サーバーと共に使用した場合、送信されたファイルの整合性が確認されます。MOVEit のセキュア FTP、API、および Web ベースクライアント (アップロード/ダウンロードウィザードを含む) はすべて、整合性チェックをサポートしています。他の FTP クライアントでも整合性チェックを利用できます。詳細については、「FTP - 相互運用機能 - 整合性チェックの方法」を参照してください。
整合性チェックを実行するには、クライアントとサーバーの両方が、送信の最終段階で送信されたファイルの暗号化ハッシュを取得します。値が一致すれば、送信されたファイルが元のファイルと完全に同一であることが両側で「確認」されます。整合性チェックの結果はファイル送信クライアントのユーザーに表示されるだけでなく、すぐにアクセスできるように MOVEit サーバーに格納されます。
MOVEit のセキュア FTP、API、および Web ベースクライアント (アップロード/ダウンロードウィザードを含む) はすべて、整合性チェックをサポートしています。
注:JavaScript ウィザードを使用する場合、整合性チェックは別個の手順になります。
MOVEit Automation と共に使用する場合、MOVEit ではインターネットに接続された MOVEit サーバーにファイルが到着するとすぐに内部サーバーへのスプールを開始できる、「イベント駆動型」の送信をサポートしています。これにより、暗号化されたファイルであっても、必要以上に長くサーバーに保管されずに済みます。
MOVEit では、HTTPS および FTPS インターフェイスの両方でファイル送信の再開をサポートしています。この機能は数ギガバイトのファイルの送信時に役立つだけでなく、サイズの大きなファイルの送信がサービス拒否攻撃を受けにくくなるという点からも、安全性を高めます。
システムのストレージを使い果たすことがないよう、さまざまなフォルダーにフォルダーサイズのクォータを設定して強制することができます。
システムのストレージを使い果たすことがないよう、さまざまなユーザーにユーザーサイズのクォータを設定して強制することができます。
グループの個々のエンドユーザーメンバーをグループ管理者として指定することができます。指定されたユーザーは、組織管理者が設定したさまざまなパラメータに従って、グループ内のユーザー、フォルダーのアクセス許可、およびアドレス帳を管理できます。
ユーザーがロックアウトされた場合や内部の整合性チェッカーがデータベースで何らかの問題の発生を検出した場合などには、E メール通知が管理者に送信されます。
MOVEit では、ユーザー自身がシステムにアップロードしたものをダウンロードできないように設定することができます。この設定を使用すると、ユーザーが個人的な項目や制限対象の項目のリポジトリとして MOVEit を正しくない用途に使用するのを防ぐことができます (このような用途に対する一般的な対策として、IP 制限を使用する方法もあります)。
MOVEit のパスワードに有効期間を設定する機能を使用すると、パスワードを定期的に変更するようにユーザーに強制できます。実際の有効期限の数日前にユーザー宛てに (E メールで) 警告が送信され、パスワードの有効期限が切れると再度通知されます。
所定の数のパスワードを記録し、ユーザーがそれらのパスワードを再使用できないように MOVEit を設定できます。
数字/文字、辞書に収録されている単語、文字数の要件など、パスワードを複雑にするためのさまざまな要件を MOVEit に設定することができます。
有効なアカウントに間違ったパスワードを使用して何度もサインオンしようとした場合、そのアカウントをロックアウトすることができます。この場合、管理者宛てに E メールで通知が送信されます。
アカウントのロックアウトがサポートされている認証済みのリソースを管理している場合、非常に現実的な問題として、有効なユーザー名のリストを取得した人物がすべてのユーザーをロックアウトすることが考えられます。このリスクを低減させるために、MOVEit がサインオン試行の失敗を何度も検知した場合、特定の IP アドレスを持つマシンがそれ以上システムに要求を行えないようにする機能が用意されています。この場合も管理者宛てに E メールで通知が送信されます。
特定のユーザーまたはユーザーのクラスを所定の範囲の IP アドレスおよび/またはホスト名に制限することができます。
MOVEit では、サインオンとサインオフのイベントだけでなく、システムのセキュリティに直接影響する、アクセス許可の変更、新規ユーザーの追加などのアクションをログに記録します。[ログ] ページと [レポート] ページで、この監査証跡のリアルタイム表示と詳細なクエリツールを使用できます。監査ログの改ざん (追加、削除、変更) を明示できるように、すべてのログエントリは暗号により連鎖しています。
MOVEit の RADIUS および LDAP クライアントは、Microsoft のインターネット認証サーバー、Novell の BorderManager、Microsoft Active Directory、Novell eDirectory、Sun iPlanet、IBM Tivoli Access Manager (SecureWay) などの標準的な RADIUS および LDAP サーバーをサポートしています。
MOVEit は SSH および FTP インターフェイスを介して、承認されていないユーザーに製品名を表示することはありません。また、Web ユーザーにこの情報を表示しないように設定することもできます。バージョン番号も承認されたユーザーにしか表示されません。この情報を非表示にすることにより、ハッカーが攻撃対象を特定するには膨大な調査が必要になります。
MOVEit の主要なインターフェイス (SFTP、FTPS、HTTPS) はすべて、SSL (X.509) クライアント証明書と SSH クライアントキーの使用をサポートしています。通常、SSL クライアント証明書と SSH クライアントキーは個々のマシンにインストールされますが、SSL クライアント証明書はハードウェアトークンとしても使用できます。
IP アドレス、パスワード、およびクライアントキー/証明書をユーザー名と共に使用することで、1、2、または 3 要素認証を利用できます。
ユーザー名とハッシュの組み合わせを MOVEit の保護されたデータベースに格納することに不安を感じる場合は、外部認証機能を使用し、管理用ではないすべてのユーザー名とパスワードを RADIUS または LDAP サーバーに移動できます (その他の管理用ユーザー名へのアクセスは、特定の内部使用のみの IP アドレスに限定することができます)。
DMZ の外に MOVEit の暗号化ファイルを格納する方法があります。この方法では、既存のストレージエリアネットワーク (SAN) の一部に MOVEit を展開します。
キーロガーソフトウェアおよびハードウェアによって、Web ブラウザを使用して MOVEit にサインオンするときに使用したキーボード操作がキャプチャされないようにするために、データ入力の代替手段としてソフトウェアキーボードが用意されています。また、同じキーボードで、他のユーザーも保護するためにアプリケーション全体で使用される他のパスワードフィールドも保護できます。
MOVEit に対するクロスフレームスクリプティング攻撃を防ぐために、Web インターフェイス自体がフレームまたは iframe ウィンドウで読み込まれないようにします。フレームを使用して MOVEit を既存のポータルアプリケーションと統合することが目的である場合は、「contentonly」フラグを使用してオーバーライドできます。詳細については、「URL の作成」に関するページを参照してください。
See Also |